Spam en 2009

  1. Bulletin de Kaspersky sur la sécurité en 2009. Développement des menaces en 2009
  2. Bulletin de Kaspersky sur la sécurité. Principales statistiques pour 2009
  3. Spam en 2009

Bilan de l’année

  • La part des messages non sollicités a représenté en moyenne près de 85,2 % du volume du courrier en 2009.
  • Cette année, ce sont les États-Unis qui ont été la principale source de courrier indésirable (16 %). Un volume important de messages non sollicités a également été envoyé depuis des pays asiatiques.
  • La part des messages d’hameçonnage dans le courrier a atteint 0,86 %.
  • 0,85 % des messages électroniques contenait des pièces jointes malveillantes.
  • La crise économique a particulièrement impacté la répartition des catégories de courrier indésirable.
  • Les escroqueries par SMS restent toujours aussi populaires dans le courrier indésirable.
  • Pour la première fois, des messages non sollicités contenaient des liens vers des vidéos non sollicitées sur YouTube.
  • Les méthodes de programmation html pour dissimuler les liens dans le courrier indésirable se sont améliorées.
  • Les déformations d’image sont à nouveau employées pour déjouer les filtres.
  • Les sujets d’actualité et les noms de personnalités sont toujours utilisés pour capter l’attention des utilisateurs.
  • Les diffuseurs de courrier indésirable exploitent la popularité des réseaux sociaux.

    Part du courrier indésirable

    La part du courrier indésirable dans le trafic de messagerie en 2009 a atteint en moyenne 85,2 %, en croissance de 3,1 % par rapport à 2008. Le volume le plus important (93 %) a été enregistré le 22 février, tandis que le volume le plus faible (72,8 %) a été enregistré le 26 avril.


    Par du courrier indésirable en 2009

    Au fil de l’année, les variations de la part de courrier indésirable dans le trafic de messagerie n’ont pas dépassé 5 %. La moyenne mensuelle du pourcentage de courrier indésirable a fluctué entre 82,6 % (décembre) et 87,2 % (février). Au deuxième semestre, ces variations furent encore plus faibles. De juillet à août, les indices mensuels n’ont varié que de 2,5 %. En décembre, le volume de courrier indésirable a diminué, comme les années précédentes. L’année dernière, les écarts furent plus importants avec des variations allant de 73,7 % à 90,7 % selon les mois. Le rythme de croissance du courrier indésirable pourrait ralentir et la part de messages non sollicités dans le trafic de messagerie se stabiliser autour de 85 %.

    Pays, source du courrier indésirable

    Sujets du courrier indésirable

    Courrier indésirable et crise

    Les variations enregistrées dans les différents sujets du courrier indésirable cette année permettent de suivre le développement de la crise économique. Nous avons déjà évoqué la réduction du nombre de messages faisant la publicité de biens et de services pour les petites et moyennes entreprises avec le début de la crise et l’augmentation du nombre de messages non sollicités aux intentions criminelles et de publicités pour les diffuseurs de messages non sollicités.

    La part de courrier indésirable du secteur réel de l’économie a commencé à chuter à partir d’août 2008 (avec néanmoins quelques reprises à la hausse) et ce jusqu’en mai 2009, le pic de la crise. Ceci s’explique par le fait que les commanditaires de diffusion de courrier indésirable, à savoir les propriétaires de petites et moyennes entreprises, n’ont pas survécu à la crise et se sont ruinés ou qu’ils ont réduit les dépenses publicitaires et arrêté de commander des diffusions de messages non sollicités. Les diffuseurs de courrier indésirable ont commencé à attirer de nouveaux clients. Le volume de publicités pour les diffuseurs de messages non sollicités dans le courrier indésirable a atteint un pic de 19,7 % en avril 2009 alors qu’il avait toujours plafonné aux alentours de 4 à 5 %.

    Toutefois, en l’absence de commanditaires, les diffuseurs de courrier indésirable ont dû trouver des moyens d’éviter l’arrêt de leurs activités. En effet, il faut bien payer la maintenance des serveurs et la location des réseaux de PC asservies. C’est ici que sont intervenus les partenariats.

    Un partenariat sur Internet est une espèce de marketing de réseau en ligne utilisé souvent dans l’optimisation du référencement sur les moteurs de recherche (SEO, search engine optimization en anglais, un ensemble de mesures complexes adoptées pour améliorer la position d’un site dans les résultats de recherche) et pour promouvoir des biens et des services. L’idée du partenariat est d’attirer des acheteurs et des clients vers le site. Cela se déroule de la manière suivante : le partenaire place sur son site une bannière ou un lien vers le site du commanditaire. Si un acheteur clique sur ce lien pendant la visite du site du partenaire, puis achète un article, le partenaire recevra un pourcentage du revenu encaissé par le magasin pour cette vente. Dans certains cas, le partenaire est payé simplement parce que le client est passé sur le site du commanditaire.

    À l’heure actuelle, ces partenariats sont très en vogue dans les milieux cyber criminels. Ces programmes sont utilisés pour diffuser des annonces pour des médicaments sans ordonnances, des copies d’articles de luxe et des logiciels bon marché. Ce type de démarche marketing est également populaire dans le secteur pornographique : le partenaire est payé pour chaque utilisateur qui visite le site. De plus, les escrocs utilisent ces méthodes pour attirer les Internautes vers des sites proposant de faux antivirus ou vers des sites dont les propriétaires gagnent de l’argent grâce aux escroqueries par SMS.

    Le diffuseur de courrier indésirable qui participe à un tel programme est payé non pas pour chaque million de messages envoyés mais pour chaque personne qui achète un article grâce au courrier indésirable.

    Le graphique montre clairement l’étroite dépendance entre le nombre de messages non sollicités de « partenariat » (catégorie « Médicaments », « Copies », « Courrier indésirable pour adultes », « Ordinateurs et Internet » et « Escroquerie informatique ») et le courrier indésirable traditionnel dans le cadre duquel le commanditaire paie le diffuseur pour la diffusion du message faisant la publicité de son service/de sa marchandise) (« Formation », « Autres biens et services », « Vacances et voyages », « Immobilier », « Services juridiques et audit » et « Détection de mensonge ». De plus, nous observons que les ressources restantes sont utilisées pour la publicité des diffuseurs de courrier indésirable.

    Escroquerie via courrier indésirable

    Au deuxième semestre 2009, le nombre de messages non sollicités appartenant à la rubrique « Escroquerie informatique » a fortement augmenté.


    Part de la catégorie « Escroquerie informatique » dans le courrier indésirable en 2009

    Cette rubrique reprend les messages d’hameçonnage, les lettres nigérianes, les faux avis de gains à la loterie ainsi que les escroqueries par SMS ou autres.

    Hameçonnage

    En 2009, le nombre de messages contenant des liens vers des sites d’hameçonnage a diminué de façon remarquable au printemps. Selon les spécialistes, c’est précisément au printemps que la crise a connu son point le plus bas. L’augmentation du nombre de messages d’hameçonnage s’est manifestée au moment où l’économie sortait de la crise, soit en août 2009. Sur l’ensemble de l’année, le nombre de messages d’hameçonnage a représenté en moyenne 0,86 % du trafic de messagerie. Nos prédictions selon lesquelles la situation économique difficile allait « motiver » les auteurs d’attaques d’hameçonnage ne se sont pas vérifiées. Selon toute vraisemblance, les cyber criminels sont parvenus à la conclusion que, dans cette situation difficile, les utilisateurs seraient plus attentifs et méfiants et qu’ils éviteraient de perdre leurs économies. Tandis que la sortie de la crise allait redonner à la population des moyens et de l’insouciance. De plus, il est évident que chaque projet d’hameçonnage implique certaines dépenses et, naturellement, ces dépenses sont plus faciles à consentir lorsque la situation économique est plus favorable.


    Nombre de messages contenant des liens vers des sites d’hameçonnage dans le trafic de messagerie

    Le système de paiement PayPal a occupé la première place du classement des organisations les plus souvent attaquées en 2009. L’intérêt des cyber criminels pour PayPal n’a faibli à aucun moment pendant l’année. En deuxième place, nous retrouvons le site de ventes aux enchères eBay.

    Les grandes banques américaines Bank of America et Chase occupent respectivement la troisième et la quatrième place de notre classement. Il faut noter que c’est la deuxième année consécutive que la banque Chase entre dans le Top 5 des organisations les plus souvent prises pour cible en raison d’attaques massives mais de courte durée. En 2009, cette organisation a occupé la première place en août seulement tandis que les autres mois, elle n’apparaissait parfois même pas dans le Top 10.

    Escroquerie par SMS dans le courrier indésirable

    Outre l’hameçonnage, les lettres nigérianes et les faux avis de gains à la loterie, la rubrique « escroquerie informatique » reprend déjà pour la deuxième année consécutive les messages qui incitent l’utilisateur, d’une manière ou d’une autre, à envoyer un SMS vers un numéro surtaxé. L’utilisateur, dont le compte est débité d’une somme non négligeable, ne reçoit pas en échange le service promis. Ce type de messages non sollicités est propre à la Russie et à l’Ukraine. Dans les autres pays, la procédure de location de numéros spéciaux avec préfixe est plus complexe. Et l’élément le plus important est que les personnes qui louent ces numéros doivent fournir des informations détaillées à leur sujet, ce qui signifie que les escrocs peuvent être rapidement identifiés le cas échéant.

    L’année dernière, alors que ce genre d’escroquerie n’en était qu’à ses débuts, les cyber criminels exploitaient déjà les méthodes traditionnelles de l’ingénierie sociale : ils annonçaient des gains à une loterie quelconque, ils menaçaient de bloquer des comptes ou ils proposaient du contenu pornographique bon marché. Cette année, nous avons observé plus de créativité : afin de convaincre l’utilisateur à envoyer un SMS, les escrocs inventent les sujets les plus incroyables.

    Parmi les plus populaires d’entre eux, citons les « sons stupéfiants» ou la possibilité de localiser un individu via un téléphone mobile.

    Dans le premier cas, nous avons affaire à des fichiers mp3 prétendument capables de mettre l’auditeur dans un état semblable à celui qui suit la consommation de stupéfiants. Dans le deuxième cas, les escrocs promettent de localiser un individu à partir de son numéro de téléphone portable.

    Pour utiliser chacun de ces services, les spammeurs autorisent le paiement par SMS, dont le coût du SMS s’avère sensiblement plus élevé que celui énoncé au départ (ce qui est un phénomène traditionnel dans les escroqueries via SMS).

    Après vérification, ces 2 services étaient des tromperies. Les journalistes ont écrit des articles sur l’impossibilité pour un fichier MP3 d’entraîner le moindre état afin de prévenir les utilisateurs crédules. Il est difficile d’intenter des actions contre ces escrocs car leurs sites contiennent une rubrique spéciale intitulée « Règles » (en règle générale, cette rubrique est très difficile à trouver, le texte qu’elle contient est écrit en caractères très petits, de couleur claire et à peine lisible) qui offre des informations réelles sur le service ou l’absence de celui-ci ainsi que sur le coût réel des SMS.

    Voici un exemple de message non sollicité typique qui propose de localiser un individu grâce à son numéro de téléphone mobile :

    Tailles et types de messages non sollicités



    Répartition des types de messages non sollicités au premier et au deuxième semestre 2009

    Le rapport entre les types de messages non sollicités est resté relativement inchangé. Les messages au format text/plain occupent toujours la première position. Leur part tout au long de l’année n’a pratiquement pas changé et représentait entre 45 et 46 % du volume total.

    Le deuxième leader incontesté parmi les types de messages est le format text/html qui a consolidé sa position au cours du deuxième semestre. De 31,6 % au premier semestre, il a atteint 39,1 %.

    Des changements sont intervenus parmi les messages avec des images. Au premier semestre de l’année, le format qui dominait les images jointes était image/jpeg. À partir du milieu de l’année, la part des messages avec image/jpeg a commencé à reculer et vers la fin de l’année, ils ont cédé la place au format image/gif.

    Ceci s’explique en grande partie par le fait que les spammeurs préfèrent généralement le format image/gif pour les images qui contiennent uniquement du texte.

    Par exemple, le message ci-dessous contient 3 images jointes : La première (la photo du sportif et des médicaments) est une pièce jointe au format image/jpeg tandis que les 2 autres (celle avec le texte en noir « We respect your rights… » et celle avec le texte gris « If you wish… ») sont des pièces jointes au format image/gif.


    Taille des messages non sollicités

    Comme par le passé, près de la moitié de l’ensemble des messages non sollicités sont des messages de petite taille (5 Ko maximum). L’écrasante majorité de ces messages contient des textes courts au format text/plain ou text/html. De temps à autres, il y a également des messages avec des images dont la taille ne dépasse pas 5 Ko. Voici un exemple d’une telle image :

    Méthodes et astuces des diffuseurs de courrier indésirable

    La principale nouveauté de 2009 est probablement l’utilisation de YouTube pour la diffusion de vidéos non sollicitées. Nous avons enregistré au mois d’octobre 2009 plusieurs diffusions de messages avec des liens vers des clips publicitaires hébergés sur YouTube. Tous ces messages contenaient de la publicité pour les spammeurs.


    Ce type de messages, malgré sa nouveauté, ne pose pas de problèmes aux filtres antispam. Le fait est que les liens vers différents clips dans le cadre d’un envoi sont très peu nombreux (pas plus de 10 dans les cas que nous avons enregistrés) et il n’est pas du tout difficile d’interrompre une diffusion contenant toujours la même URL.

    À la fin de l’année, les spammeurs ont utilisé, ou plutôt réutilisé, une autre astuce intéressante : la diffusion de messages non sollicités avec un MP3 en pièce jointe. Une agréable voix féminine dictait le nom d’un site de vente de viagra. Le nom de la piste et de l’interprète évoquaient également un site de spam. En guise de bande son, les spammeurs utilisaient des soupirs féminins adaptés au sujet.


    Les spammeurs ont utilisé également certaines astuces des années antérieures, non sans les avoir considérablement remaniées.

    Une de ces astuces consistait à écrire le message publicitaire et/ou les coordonnées sans aucune lettre ou image mais uniquement à l’aide de code html. Cette méthode n’est pas nouvelle, mais elle a été améliorée cette année. Le principe est simple : un tableau contenant un grand nombre de cellules est intégré au message. Certaines cellules sont vides, tandis que d’autres sont remplies d’une couleur sombre. La combinaison des cellules vides et en couleurs donne le texte souhaité par le spammeur lors de la lecture du message dans un navigateur.

    Avant, les spammeurs utilisaient des tableaux avec de grosses cellules, si bien que les lettres et les chiffres obtenus étaient encombrants et absurdes. En voici un exemple :


    Cette année, les spammeurs ont compris que s’ils parvenaient à créer un tableau avec de minuscules cellules, l’aspect du message serait considérablement amélioré. Des messages du genre suivant sont apparus :


    Une autre astuce qui a subi des modifications en 2009 fut l’utilisation d’images avec un fond changeant. Afin que les filtres antispam ne puissent pas identifier des messages distincts au sein d’une diffusion comme étant des messages contenant la même offre et identifier dans le texte des images les mots clés et expressions propres au spam, les spammeurs commencèrent à utiliser dès 2006 la technique du « brouillage » du fond à l’aide de points et de taches sombres, voire à l’aide de figures géométriques en différents endroits. L’esthétique du message n’était pas vraiment épargnée par cette méthode. Et souvent, la lisibilité du message en souffrait. Voici à quoi ressemblait un tel message :


    En 2009, les spammeurs ont continué à brouiller l’image tout en améliorant le graphisme du message. Au lieu d’un arrière-plan peu attrayant, ils ont commencé à utiliser des photos de jeunes filles charmantes. Afin d’atteindre un plus grand nombre de versions de la même image, les spammeurs ont découpé celle-ci en plusieurs morceaux. Lors de l’ouverture dans un navigateur, ces morceaux se « recollent » et l’utilisateur voit apparaître une image assez sympathique :


    Cette méthode a d’abord été utilisée dans les messages publicitaires anglophones pour des médicaments mais elle a été très vite empruntée pour la publicité du spam pornographique russophone :


    De telles méthodes avaient déjà été employées en 2006… Les voici de retour.

    Une autre astuce utilisée dans le spam graphique fut la déformation du texte de la publicité dans l’image de telle sorte que les lignes de texte soient ondulées.


    Cette méthode fut elle aussi d’abord testée puis largement utilisée dans la publicité anglophone pour des médicaments avant d’apparaître après quelques mois dans le spam russophone :


    Les références aux sujets d’actualité et aux noms de personnalité sont toujours très populaires chez les spammeurs.

    Barack Obama, le président américain, aura été la personnalité la plus populaire auprès des spammeurs en 2009. Son nom fut largement utilisé après son investiture le 20 janvier et il a conservé son intérêt tout au long de l’année. Son nom a été exploité pour la création de titres « sensationnels », dans du matériel compromettant et même dans des lettres nigérianes.

    Le message ci-après dont l’objet lit « La terrible maladie d’Obama » propose le fameux Viagra :


    Dès après la disparition de Michael Jackson, survenue le 25 juin, nous avons enregistré des diffusions exploitant ce sujet. Ces messages contenaient des liens vers des pharmacies en ligne canadiennes ou vers des sites contenant des programmes malveillants. Les diffusions exploitant ce sujet se poursuivirent tout au long de l’été.

    Mais la fin de l’été ne marqua pas la fin de ces diffusions. Il y a toujours en circulation des messages non sollicités proposant le « costume de Michael Jackson » ou le téléchargement d’une « vidéo posthume ». Au mois de novembre, nous avons reçu un message dont l’objet était le suivant « Michael Jackson est vivant ! Voyez les preuves ». Le corps de ce message contenait un lien vers un site :


    Le lien menait à Trojan.Script.Iframer.

    Bien entendu, le nombre de sujets qui ont intéressé les spammeurs est élevé : il s’agit des diverses célébrations, depuis le 8 mars en Russie jusqu’au Thanksgiving aux Etats-Unis et au Canada, les matchs éliminatoires pour la coupe du monde de football en 2010 et les avant-premières des grosses productions. Toutefois, ce sont les sujets cités ci-dessus qui ont été présents dans le courrier indésirable pendant une période plus longue.

    Courrier indésirable et réseaux sociaux

    Le spam dans les réseaux sociaux et les blogs est très populaire. Si ces communautés n’appliquaient pas la modération préalable ou si les commentaires anonymes n’étaient pas désactivés, le volume de messages non sollicités reçu via les blogs et les réseaux sociaux prendrait une ampleur catastrophique.

    Le courrier indésirable exploite largement la popularité des réseaux sociaux. Tout d’abord, nous recevons souvent par courrier diverses notifications qui contiennent du spam. Ensuite, les spammeurs exploitent les réseaux sociaux et les blogs comme un autre support pour la publicité accessible via les liens repris dans les messages non sollicités. Le courrier indésirable est utilisé pour promouvoir des réseaux sociaux inconnus qui sont souvent simplement des sites de rencontres utilisant le nom « réseau social » pour se dissimuler.

    Les spammeurs utilisent les réseaux importants et les blogs pour déjouer les filtres et pour attirer l’attention des utilisateurs : un faux message sous les traits d’une notification d’un réseau social suscite plus de confiance. De plus, il n’est pas rare que les sites de réseaux sociaux soient victimes d’attaques d’hameçonnage pour voler les données d’accès aux comptes des utilisateurs. En règle générale, ce sont les sites les plus populaires qui sont les victimes. Parmi ceux-ci, citons Facebook et Twitter.

    Dans ce message d’hameçonnage, l’utilisateur est invité à actualiser son compte dans Facebook en cliquant sur un lien. Le lien mène l’utilisateur sur le site des escrocs où il est invité à saisir son nom d’utilisateur et son mot de passe Facebook :

    Applications malveillantes dans le courrier

    En 2009, 0,85 % des messages électroniques contenait des pièces jointes malveillantes, soit 0,04 % de moins que l’indice moyen de 2008.

    Le graphique repris ci-dessous indique que le pic d’activité dans la diffusion de messages avec des pièces jointes malveillantes s’est présenté vers la fin de l’année, aussi bien en 2008 qu’en 2009. Alors qu’il y a bien eu un regain d’activité notable en mars 2008, à partir de février et jusqu’au mois d’août 2009, le nombre de messages avec pièces jointes n’a pas dépassé 0,4 %.


    Part de messages avec des pièces jointes malveillantes dans le courrier en 2008 et 2009

    En 2009, le sursaut automnale du spam malveillant fut composé principalement de messages contenant Zbot (cheval de Troie espion développé pour le vol d’informations confidentielles de l’utilisateur) présenté sous la forme de notifications du fisc ou de messages utilisés par les cyber criminels pour diffuser des chevaux de Troie de la famille Fraudload. Les chevaux de Troie FraudLoad installent sur l’ordinateur de la victime plusieurs programmes de type Fraud Tool (faux outils). Il s’agit principalement de faux antivirus utilisés pour extorquer de l’argent à la victime en échange de la réparation ou de la suppression des prétendus programmes malveillants existants sur l’ordinateur de l’utilisateur.

    Dans l’ensemble, le Top 10 des programmes malveillants diffusés par courrier électronique en 2009 ressemble à ceci :


    Conclusion

    2009, année de crise, a été difficile pour de nombreux représentants du secteur. Les spammeurs n’ont pas échappé à la crise : leurs cahiers de commande ont particulièrement souffert au milieu de l’année. Toutefois, le nombre de messages non sollicités n’a pas diminué car les spammeurs se sont lancés activement dans des partenariats. De plus, tout au long de l’année, le spam a servi en quelque sorte d’indicateur de la crise et a permis de réaliser des pronostics.

    Cette année, le volume de publicité pour les services de spammeurs a été particulièrement élevé, allant jusqu’à atteindre 20 % de l’ensemble du courrier indésirable. C’est la méthode que les spammeurs ont choisie pour tenter d’attirer de nouveaux clients en temps de crise.

    Le nombre de messages d’hameçonnage est resté à un niveau étonnement bas : au pire de la crise, le nombre de messages d’hameçonnage n’a pas augmenté. Au contraire, il a sensiblement reculé.

    Il n’y a pas eu de modifications drastiques au niveau du nombre de programmes malveillants dans le courrier par rapport à 2008, mais bien au niveau de la qualité. Les chevaux de Troie permettant de télécharger de faux antivirus sur les ordinateurs ont été particulièrement appréciés des spammeurs.

    Au fil de l’année, les spammeurs ont amélioré la qualité de leur publicité et ont tenté de produire des messages que les filtres antispam pourraient difficilement identifier mais qui seraient toujours agréables à lire. Outre les méthodes traditionnelles, ils ont exploité des techniques multimédia comme la diffusion de clips sur YouTube ou la diffusion de fichiers audio.

    En 2009, la majorité du courrier indésirable provenait des États-Unis, mais on remarque une migration des sources vers les pays d’Asie et d’Amérique latine. Ceci s’explique aisément : le nombre d’ordinateurs et de connexion à l’Internet haut débit augmente dans ces pays, alors que la majorité des utilisateurs est loin de connaître les conseils pour une utilisation en toute sécurité d’Internet. Par conséquent, leurs ordinateurs sont plus facilement infectés par des programmes malveillants et recrutés dans des réseaux de zombies.

    Il est probable que 2010 soit une année plus régulière et plus calme. Le nombre de messages non sollicités dans le trafic de messagerie va se maintenir plus au moins au niveau actuel. Une faible hausse est possible. Les escroqueries par SMS, si répandues en 2009, vont peut-être connaître un déclin, surtout si les opérateurs de téléphonie mobile décident de lutter activement contre celles-ci. Mais nous devrons alors nous attendre à d’autres astuces pour les escroqueries.

    Les méthodes telles que l’utilisation de fichiers audio ou vidéo dans le spam ne vont pas survivre : le rapport entre le poids du message, les avantages pour déjouer les filtres et l’attrait pour les utilisateurs n’est pas du tout à l’avantage des spammeurs. Par contre, les spammeurs vont continuer à utiliser des anciennes astuces éprouvées. Ainsi, il est probable que les réseaux sociaux qu’ils apprécient tant soient d’avantage utilisés dans le spam. Et la quantité de spam dans les réseaux sociaux eux-mêmes va continuer d’augmenter.

  • Posts similaires

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *